Bài viết mới của Vitalik: Những thách thức an ninh trong thời đại làm giả kỹ thuật số sâu
Tuyển chọn TechFlowTuyển chọn TechFlow
Bài viết mới của Vitalik: Những thách thức an ninh trong thời đại làm giả kỹ thuật số sâu
Trong thời đại giả mạo sâu, các chiến lược bảo mật và phương pháp xác thực hiệu quả là vô cùng quan trọng.
Chuyên sâu báo cáo Web3Tác giả: Vitalik
Biên dịch: BlockBeats
Lời người biên tập:
Ngày 4 tháng 2, một nhân viên tài chính của công ty đa quốc gia đã bị lừa mất 25 triệu USD trong một cuộc họp video, khi kẻ lừa đảo sử dụng công nghệ deepfake để giả mạo Giám đốc Tài chính (CFO) của công ty. Ban đầu, nhân viên này nhận được một tin nhắn mà họ nghi ngờ là email lừa đảo từ CFO tại Anh vì nội dung đề cập đến việc cần thực hiện giao dịch bí mật. Tuy nhiên, sau cuộc gọi video, nhân viên này đã bỏ qua nghi ngờ ban đầu vì những người tham dự đều trông và nghe giống hệt đồng nghiệp mà anh ta biết, nhưng thực tế tất cả đều là sản phẩm giả mạo bằng deepfake.
Vitalik cho rằng mã hóa không thể giải quyết mọi vấn đề. Ông chỉ ra rằng nên tận dụng nền tảng thông tin mà con người vốn giỏi ghi nhớ, đặt ra các câu hỏi bảo mật xứng đáng được đưa vào quy trình làm việc bên cạnh các lớp bảo vệ khác. Tuy nhiên, ông cũng nhấn mạnh rằng dù hữu ích, các câu hỏi bảo mật hiện nay vẫn chưa đủ thân thiện với người dùng.
Bản dịch nguyên văn như sau:
Xin chân thành cảm ơn Hudson Jameson, OfficerCIA và samczsun đã góp ý và rà soát.
Gần đây có một bài báo lan truyền rộng rãi, kể về việc một công ty đã mất 25 triệu USD khi một nhân viên tài chính bị lừa chuyển tiền cho kẻ giả mạo là CFO, thông qua một cuộc gọi video deepfake cực kỳ chân thực.
Gần đây, công nghệ deepfake (âm thanh và video giả do trí tuệ nhân tạo tạo ra) ngày càng xuất hiện thường xuyên hơn trong lĩnh vực tiền mã hóa cũng như các lĩnh vực khác. Trong vài tháng qua, video deepfake của tôi đã bị dùng để quảng bá cho nhiều vụ lừa đảo và đồng Dogecoin. Chất lượng deepfake đang cải thiện nhanh chóng; nếu như video deepfake năm 2020 rất tệ thì trong vài tháng gần đây, chúng ngày càng khó phân biệt. Những người quen tôi vẫn có thể nhận ra video tôi quảng bá Doge là giả, vì trong video đó tôi nói "let's f***ing go", còn tôi chỉ dùng cụm "LFG" để chỉ "looking for group". Nhưng những người chỉ từng nghe giọng tôi vài lần có thể dễ dàng bị lừa.
Tôi đã trao đổi với các chuyên gia an ninh về sự việc mất 25 triệu USD trên, và họ đều cho rằng đây là thất bại bất thường và đáng xấu hổ trên nhiều cấp độ về an ninh vận hành doanh nghiệp. Quy trình chuẩn phải yêu cầu nhiều tầng ký duyệt trước khi phê duyệt bất kỳ khoản chuyển nào tương tự giá trị này. Nhưng vẫn tồn tại một thực tế: tính đến năm 2024, luồng âm thanh hay video của một người đã không còn là cách an toàn để xác minh danh tính nữa.
Điều này đặt ra câu hỏi: vậy đâu mới là phương pháp xác thực danh tính an toàn?
Chỉ dựa vào phương pháp mã hóa là chưa đủ
Việc xác thực danh tính một cách an toàn là quan trọng đối với nhiều người trong nhiều tình huống khác nhau: cá nhân cần khôi phục ví đa chữ ký hoặc ví khôi phục xã hội, doanh nghiệp cần phê duyệt giao dịch thương mại, cá nhân cần xác nhận các giao dịch lớn cho mục đích cá nhân (như đầu tư khởi nghiệp, mua nhà, gửi tiền), dù dùng tiền mã hóa hay tiền pháp định, thậm chí các thành viên trong gia đình cần xác minh lẫn nhau trong trường hợp khẩn cấp. Vì vậy, chúng ta cần một giải pháp tốt, có khả năng ứng phó với kỷ nguyên sắp tới của video deepfake.
Trong cộng đồng tiền mã hóa, tôi thường nghe thấy một câu trả lời cho vấn đề này là: «Bạn có thể tự xác thực bằng cách cung cấp chữ ký mã hóa địa chỉ ENS / hồ sơ Proof of Humanity / khóa PGP công khai của bạn». Câu trả lời này rất hấp dẫn. Tuy nhiên, nó hoàn toàn bỏ qua lý do tại sao việc có người khác tham gia vào quá trình ký kết lại hữu ích. Giả sử bạn đại diện cho một người dùng cá nhân sở hữu ví đa chữ ký, và bạn đang gửi một giao dịch cần sự phê duyệt từ một số người đồng ký. Khi nào họ sẽ phê duyệt? Khi họ tin chắc rằng bạn thực sự là người muốn thực hiện giao dịch. Nếu họ xác định người thực hiện là hacker đánh cắp khóa của bạn hoặc là kẻ bắt cóc, họ sẽ không phê duyệt. Trong môi trường doanh nghiệp, thường có thêm nhiều lớp phòng thủ; nhưng ngay cả vậy, kẻ tấn công có thể giả mạo quản lý, không chỉ ở yêu cầu cuối cùng mà còn tham gia vào các giai đoạn đầu của quy trình phê duyệt. Chúng thậm chí có thể chiếm quyền kiểm soát yêu cầu hợp lệ đang diễn ra bằng cách cung cấp sai địa chỉ.
Do đó, trong nhiều trường hợp, việc các người ký khác chấp nhận chữ ký khóa của bạn để xác nhận “bạn là bạn” sẽ phá hủy toàn bộ mục đích: nó biến toàn bộ hợp đồng thành dạng đa chữ ký 1-1, chỉ cần kiểm soát một khóa duy nhất là có thể đánh cắp tiền!
Đây là lúc chúng ta đi đến một câu trả lời thực tế và có phần hợp lý hơn: các câu hỏi bảo mật.
Câu hỏi bảo mật
Giả sử ai đó nhắn tin cho bạn, tuyên bố là bạn bè A.B. Họ nhắn từ một tài khoản bạn chưa từng thấy, nói rằng đã mất hết thiết bị. Làm thế nào bạn xác định họ có thực sự là người đó?
Có một câu trả lời hiển nhiên: Hỏi về điều chỉ họ mới biết, điều đó nên liên quan đến:
-
Điều bạn biết
-
Điều bạn mong họ nhớ
-
Điều internet không biết
-
Khó đoán
-
Lý tưởng nhất, ngay cả những kẻ đã xâm nhập cơ sở dữ liệu doanh nghiệp và chính phủ cũng không biết
Một cách tự nhiên là hỏi về những trải nghiệm chung, ví dụ:
-
Lần gặp nhau trước, chúng ta ăn tối ở nhà hàng nào và bạn đã ăn món gì?
-
Người bạn nào của chúng ta đã kể một trò đùa về một chính trị gia cổ đại? Chính trị gia đó là ai?
-
Bộ phim gần đây nào mà bạn không thích?
-
Tuần trước bạn gợi ý tôi nói chuyện với A.B. để xem họ có thể giúp nghiên cứu XXX của chúng ta không?
Ví dụ thực tế về câu hỏi bảo mật gần đây được dùng để xác minh danh tính của tôi
Câu hỏi của bạn càng độc đáo càng tốt. Những câu hỏi nằm ở ranh giới khiến người ta phải suy nghĩ vài giây hoặc thậm chí có thể quên câu trả lời là tốt nhất, nhưng nếu người bạn hỏi tuyên bố quên, hãy hỏi thêm ba câu nữa. Hỏi về chi tiết vi mô (điều ai đó thích/không thích, một trò đùa cụ thể...) thường tốt hơn chi tiết vĩ mô, vì thứ trước thường khó đào bới tình cờ hơn đối với bên thứ ba. Ví dụ, ngay cả khi chỉ một người đăng ảnh bữa tối lên Instagram, LLM hiện đại cũng có thể nhanh chóng thu thập và cung cấp vị trí theo thời gian thực. Nếu câu hỏi của bạn có thể bị đoán trúng (chỉ có vài lựa chọn hợp lý), hãy thêm câu hỏi khác để tăng entropy.
Nếu câu hỏi bảo mật buồn tẻ, người ta thường sẽ ngừng thực hành an ninh, vì vậy nên làm cho chúng trở nên thú vị. Chúng có thể là cách gợi nhớ những trải nghiệm tích cực chung, và còn là động lực thật sự để có những trải nghiệm như vậy.
Bổ sung câu hỏi bảo mật
-
Không có chiến lược an ninh đơn lẻ nào là hoàn hảo, vì vậy luôn tốt nhất là kết hợp nhiều kỹ thuật với nhau.
-
Mật khẩu đã thỏa thuận trước: Khi ở cùng nhau, chủ động thỏa thuận một mật khẩu chung để sau này dùng xác minh lẫn nhau.
-
Thậm chí có thể thỏa thuận một khóa khẩn cấp: một từ mà bạn có thể vô tình chèn vào câu nói, ám hiệu rằng bạn đang bị ép buộc hoặc đe dọa. Từ này nên đủ phổ biến để khi dùng cảm thấy tự nhiên, nhưng cũng đủ hiếm để bạn không vô tình chèn vào lời nói.
-
Khi ai đó gửi bạn địa chỉ ETH, hãy yêu cầu họ xác nhận trên nhiều kênh (ví dụ: Signal và tin nhắn riêng Twitter, trên website công ty, thậm chí qua người quen chung).
-
Phòng chống tấn công trung gian: Các chức năng như «số an toàn» của Signal, biểu tượng cảm xúc của Telegram và tương tự là đáng để hiểu và cảnh giác.
-
Giới hạn hàng ngày và trì hoãn: Đơn giản là áp dụng độ trễ cho các thao tác cực kỳ quan trọng và không thể đảo ngược. Điều này có thể thực hiện ở cấp độ chính sách (thỏa thuận trước với người ký là chờ N giờ hoặc vài ngày trước khi ký) hoặc ở cấp độ mã (áp dụng giới hạn và trì hoãn trong mã hợp đồng thông minh).
Một cuộc tấn công nâng cao tiềm tàng là kẻ tấn công giả mạo高管 và người nhận trợ giúp ở nhiều bước của quy trình phê duyệt. Câu hỏi bảo mật và độ trễ đều có thể ngăn chặn tình huống này, tốt nhất là dùng cả hai
Câu hỏi bảo mật hữu ích vì khác với nhiều kỹ thuật khác, chúng thất bại không phải do thiếu thân thiện mà do chưa đủ nhân văn. Câu hỏi bảo mật xây dựng trên nền tảng thông tin mà con người vốn giỏi ghi nhớ. Tôi đã sử dụng câu hỏi bảo mật nhiều năm rồi, và thực sự đây là một thói quen rất tự nhiên và không hề ngại ngùng, đáng để đưa vào quy trình làm việc bên cạnh các lớp bảo vệ khác.
Lưu ý rằng các câu hỏi bảo mật «cá nhân với cá nhân» được mô tả ở trên rất khác với các câu hỏi bảo mật «doanh nghiệp với cá nhân», ví dụ như khi bạn đi nước ngoài và thẻ tín dụng bị tạm dừng nhiều lần, bạn gọi ngân hàng để kích hoạt lại, sau 40 phút chờ nhạc, một nhân viên ngân hàng xuất hiện và hỏi tên, ngày sinh, có thể cả ba giao dịch gần nhất của bạn. Loại câu hỏi mà cá nhân biết câu trả lời rất khác với loại mà doanh nghiệp biết. Do đó, đáng để xem xét riêng biệt hai trường hợp này.
Tình hình mỗi người là độc đáo, do đó loại thông tin riêng biệt mà bạn chia sẻ với người cần xác minh danh tính cũng khác nhau. Thường thì tốt nhất là điều chỉnh kỹ thuật theo tình hình con người, chứ không phải điều chỉnh con người để phù hợp với kỹ thuật. Một kỹ thuật không cần hoàn hảo mới có tác dụng; phương pháp lý tưởng là kết hợp nhiều kỹ thuật cùng lúc, và chọn những kỹ thuật phù hợp nhất với bạn. Trong thời đại hậu-deepfake, chúng ta thực sự cần điều chỉnh chiến lược để thích nghi với hiện thực mới: những gì dễ giả mạo và những gì vẫn khó giả mạo. Nhưng miễn là chúng ta làm được điều này, việc giữ an toàn vẫn hoàn toàn khả thi.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@VitalikButerin
